,19) REPUBLIQUE FRANQAISE 

INSTITUT NATIONAL 
DE LA PROPRIETE INDUSTRIELLE 



PARIS 



^j) N° de publication : 

(a n'utiliser que pour les 
commandes de reproduction) 

1) N° d'enregistrement national 



2 700 430 
92 15915 



@ Int CI 5 : H 04 L 9/32, G 07 F 7/10 



DEMANDE DE BREVET D'INVENTION 



A1 



@ Date de depot : 30.12.92. 


Demandeur(s) : STERN Jacques — FR. 


uu/ km o rite . 


(72) Inventeur(s) : STERN Jacques. 


(43) Date de la mise a disposition du public de la 
w demande : 13.07.94 Bulletin 94/28. 




(56) Liste des documents cites dans le rapport de 
recherche preliminaire : Se reporter a la fin du 
present fascicule. 




feo) References a d'autres documents nationaux 
apparentes : 


(73) Titulaire(s) : 

(^) Mandataire : Ruellan Brigitte. 



< 

I 

CO 



1^ 

CM 



(§4) Procede d'authentification d'au moins un dispositif d'identification par un dispositif de verification et dispo- 



sitif pour sa mise en ceuvre. 

fert La presente invention concerne un procede d'authenti- 
fiSation d'au moins un dispositif d'identification par un dis- 
positif de verification. 

Dans le cadre du procede, I'authentification est realisee 
par un protocole a apport nul de connaissance base sur le 
probleme du decodage par syndrome. Le procede com- 
prend I'etablissement d'un vecteur secret s d'un poids de 
Hamming d, d'une matrice connue M de dimensions n x k 
et d'un vecteur public K tel que K = Ms, la production d'un 
vecteur aleatoire y et une permutation aleatoire p au niveau 
du dispositif d'identification, un engagement sur des para- 
metres dependant de y et/ou p et/ou s base sur I 'usage de 
la fonction de hachage cryptographique H et de la matrice 
M, une echange d 'informations concernant y, p, s permet- 
tant de repondre aux questions posees par le dispositif de 
verification sans reveler directement ou indirectement s a 
celui-ci et une verification a I'aide de K et/ou des informa- 
tions precedemment transmises de la validite des engage- 
ments haches. L'invention s'applique notamment a la tele- 
vision a p6age. 
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PROCEDE D'AUTHENTIFICATION D'AU MOINS UN DISPOSITIF 
□'IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION ET 
DISPOSITIF POUR SA WISE EN OEUVRE 

5 La pr<§sente invention a pour objet tin proc6d§ 

d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification etant r§alis6e par un 
protocole a apport nul de connaissance base sur le probldme du 
decodage par syndrome. 

10 La prSsente invention a aussf pour objet des dispositifs 

d'identification et de verification pour la mise en oeuvre dudit procede. 
La presente invention s'applique, plus particulterement, au cas des 
communications dites s§curis£es ou deux dispositifs echangent des 
donnees £ travers un canal dont la securite est suspecte. Dans ce cas, il 

15 est essentiel d'avoir un moyen de reconnaissance mutuelle, 3 savoir un 
moyen permettant 3 un dispositif de verification d'authentifier un 
utilisateur et de lui permettre I'accds aux donnees ou aux services. II 
existe de nombreux exemples necessitant la mise en oeuvre de ce type 
de communication s§curis£e. On peut citer, notamment, le cas des 

20 ordinateurs de type bancaire permettant d f effectuer des transferts 
d'ordres. Dans ce cas, les deux ordinateurs doivent avoir la certitude 
qu'ils sont bien en communication Pun avec i'autre et non pas avec une 
entite pirate. On peut citer aussi le cas des distributees automatiques de 
billets, des d£codeurs de television £ peage, des publiphones. Dans ces 

25 exemples, le dispositif d 1 identification est constitue par un appareil 
portable tel qu'une carte 3 puce ou une cie eiectronique et le dispositif 
de verification inclus soit dans le distributeur ou le decodeur doit 
controler la validity des differents moyens d r acc£s de la carte 3 puce ou 
de la cie eiectronique. 

30 Dans ce contexte, on utilise frequemment des methodes 

d'authentification qui sont basees sur des techniques cryptographiques £ 
cies secretes. Ces methodes sont, jusqu'S ce jour, les plus simples 3 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
d'identification par exemple les cartes £ puces et le dispositif de 
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verification tel qu'un terminal, un lecteur de cartes, un decodeur, un 
publiphone, partagent ia meme cie secrete et I' identification est 
accomplie par un algorithme symetrique ou une fonction £ sens unique. 
LMneonvSnient de ces methodes reside dans !e fait que les deux parties, 
5 3 savoir le dispositif de verification et le dispositif d'identification, 
doivent cooperer mutuellement et secretement. Cette condition n'est pas 
toujours verifiee. Effet, un element pirate peut acheter le dispositif de 
verification et I'analyser pour connaTtre sa structure interne. Sur la base 
de cette analyse, I'eiement pirate est techniquement capable de r£aliser 

10 des dispositifs d'identification performants, car les m£mes cI6s secretes 
sont presentes aux deux extremes du reseau, d savoir dans le dispositif 
de verification et dans le dispositif d'identification. 

II est reconnu que, parmi les divers procedes pouvant §tre 
impiementes pour se premunir contre les inconvenients des methodes 

15 classiques connues, les protocoles £ apport nul de connaissance 
assurent jusqu'3 maintenant (e degre de securite le plus eieve. 

En resume, ies protocoles d'identification S apport nul de 
connaissance sont fonctionnellement caracterises par le fait qu f un 
nombre illimite d' interactions avec le dispositif d'identification et une 

20 analyse complete de la structure du dispositif de verification ne sont pas 
suffisants pour pouvoir reconstruire les dispositifs d'identification. 

Toutefois, les protocoles £ apport nul de connaissance qui 
constituent une solution ideale au probldme de I'identification presentent 
un inconvenient majeur. Leur realisation est quelque peu difficile d faire 

25 eiectroniquement, car ellle demande un nombre d'operations tr6s 
important. On pourra trouver une description des procedes 
d'identification 3 apport nul de connaissance existant notamment, dans 
le brevet americain A-4 748 668 au nom de FIAT et al. ou dans la 
demande de brevet europeenne A-0 311 470 au nom de GUILLOU et AL. 

30 Des efforts ont ete accomplis recemment afin de developper 

des methodes d'identification dont la realisation eiectronique soit plus 
facile. Une telle methode est decrite notament dans le brevet americain 
US-A-4 932 056 au nom de SHAMIR. Cette methode est connue sous le 
nom de methode PKP. Toutefois, cette methode, qui est plus facile 3 
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realiser eiectroniquement que les algorithmes manipuiant les grands 
nombres, presente ['inconvenient d'etre relativement lente lors des 
^changes entre les dispositifs de verification et d'identification. 

La presente invention a done pour but de remedier aux 
5 inconvenients mentionnes ci-dessus en proposant un nouveau procede 
d'authentification qui soit faciiement realisable eiectroniquement et qui 
permette une authentification rapide du dispositif d'identification par le 
dispositif de verification. 

En consequence, la presente invention a pour objet un procede 

10 d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification etant reaiisee par un 
protocoie 3 apport nui de connaissance base sur le probldme du 
decodage par syndrome ou le probldme connu sous le nom de "Modular 
Knapsack" , le procede etant caracterise par les etapes suivantes : 

15 - pour permettre le dialogue entre le dispositif d'identification 

et le dispositif de verification, etablir une cie secrete constituee par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cie publique comprenant une matrice M de dimensions n x k dont les 
coefficients sont choisis aieatoirement et au moins un vecteur Kj tels que 

20 Ki = Msj ; 

- au niveau du dispositif d'identification, produire un vecteur 
aieatoire y de dimension n et une permutation aieatoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des param§tres fonction de 

25 y, p, s et M ; 

- puis, en fonction d'un nombre aieatoire tire par le dispositif 
de verification et envoye au dispositif d'identification, reveler au 
dispositif d'identification, certains elements fonction de y, p et s\ sans 
reveler s\ ; 

30 - et en fonction du nombre aieatoire, tester au niveau du 

dispositif de verification 3 I'aide des elements re<?us et de la cie publique 
que les engagements sont corrects ; 
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- r§p6ter les operations pr6c6dentes un nombre de fois 
fonction du niveau de securite souhaite sachant que ce niveau de 
securite est exponentieliement croissant avec le nombre de tours. 

Dans le proc§d<§ d'authentification ci-dessus, on utilise une 
5 matrice M de dimensions nxk, cette matrice etant commune & tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur regoit une cie 
secrete s qui est un mot de n bits avec un nombre d present de 1. Dans 
ce cas, le systeme calcule la cie publrque K telle que K = MS. 

Alternativement, un utilisateur peut Stre dote de plusieurs cies 
10 secretes s[1], s[w] auxquelles sont associees des cl§s publiques 
K[i] = Ms[i]. Avantageusement, on peut exiger que ces vecteurs s[1], 
s[w] forment un code simplexe etendu. 

Le procede d'identification est base principalement sur la 
notion technique d'engagement. Si U est une sequence d'€l6ments 
15 binaires, un engagement pour U est I'image de U S travers une certaine 
fonction de hachage cryptographique. L'engagement sera utilise comme 
une fonction & sens unique. 

Selon un premier mode de realisation du proc6d6 
d'authentification, dans une premiere etape 
20 - a) commune aux differents proced£s, le dispositif 

d'identification r6vele son identity et/ou sa ou ses cI6s signees au 
dispositif de verification qui v§rifie que I'identite en question correspond 
bien au vecteur Kj, puis 

aprds avoir choisi un vecteur aieatoire y et une permutation 
25 aieatoire p, 

- b) le dispositif d'identification calcule : 

hi = H{p,My), h2 = H{y p ), h3 = H (y xor s) p ) et expgdie 
Tengagement {h-j, h£r h3) au dispositif de verification, (x p reprdsentant 
le vecteur x permute par p et xor la fonction Ou exclusif), 
30 - c) puis le dispositif de verification tire de fapon aieatoire un 

nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envoie au 
dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 
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Si q = 2 alors r = {y xor s f p} 
Si q = 3 alors r = {y p , s p } 

- e) le dispositif de verification repoit r = {U,V} et teste que : 
Si q = 1 alors h-j = H (V,MU) et h 2 = H(U V ) 

5 Si q - 2 alors h-j = H(V, (MU) xor K) et h 3 = H(U V ) 

Si q « 3 aiors h 2 - H{U), h 3 = H(U xor V) et le poids de 
Hamming de V est d, 

- f) si le test correspondant a q s'est av6r€ correct, le dispositif 
de verification considere que le protocofe s'est termini par un succ6s. 

10 Selon un autre mode de realisation de la presente invention, ou 

le vecteur s est remplace par une collection de w vecteurs s[1], s[2], 
s[w] formant un code simplexe de poids d, aprds avoir choisi un vecteur 
aleatoire y et une permutation aleatoire p 

-b) le dispositif dMdentification calcule h-j = H(My, p), h 2 = 

15 H(y p , s[1]p, s[w] p ) et expedie ('engagement {h-j, h 2 } au dispositif de 
verification, 

- c) le dispositif de verification tire de fagon aleatoire un 
vecteur binaire b[1] r b[w] et I'envoie au dispositif dMdentification ; 

- d) le dispositif dMdentification calcule et envoie au dispositif 
20 de verification une reponse z definie par : 

z = Yp xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3I ... xor 
s[w]pb[w] ; 

- e) le dispositif de verification tire de fagon aleatoire un bit q 
et r envoie au dispositif dMdentification, 

25 - f) le dispositif dMdentification envoie une reponse r definie 

par : 

Si q = 0 alors r = {y p/ s[1] p/ s[w] p } 
Si q = 1 alors r = {p} j 

- g) ie dispositif de verification repoit une reponse r = {r[0], 
30 r[1], ...r r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- h) le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2] # r[w]} forme un code simplexe ; 
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Si q = 1 alors H{M(depermute(z, r[0]}) xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]} - oO K[i] - Ms[i] 

- i) si le test correspondant S q s'est av£r£ correct, le dispositif 
de verification considdre que le protocole s'est termini par un succfes. 

5 D'autres avantages de la pr£sente invention apparaitront a la 

lecture de la description de diff6rents modes de realisation du proc6d£, 
cette description 6tant faite avec reference aux dessins ci-annexes dans 
lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
10 mise en oeuvre du procede d'authentification conforme ci la presente 

invention ; 

- la figure 2 est un schema d'un second mode de realisation du 
procede conforme 3 la presente invention ; 

- la figure 3 est un schema sous forme de blocs d'un dispositif 
15 d'identification conforme £ la presente invention ; 

- la figure 4 est un schema sous forme de blocs d'un dispositif 
de verification conforme 3 la presente invention, et 

- la figure 5 est un schema eiectrique d'un exemple de 
realisation d'un multiplicateur matrice/vecteur conforme 3 la presente 

20 invention. 

La presente invention concerne done un nouveau procede 
d'authentification realise par un protocole 3 apport nul de connaissance. 
La s6curite du procede est bas£e sur le probteme du decodage par 
syndrome (DS) qui peut etre explicit^ de la manidre suivante : soit une 

25 matrice binaire M et un vecteur binaire K, il s'agit de trouver un vecteur 
binaire s de poids relativement fort ou relativement faible, tel que 
Ms = K. Par poids, on entend le nombre de bits a 1 dans le vecteur 
concern^. Le probl&me pose ci-dessus est en fait tr£s difficile & r£soudre 
par les moyens de calcul connus 3 ce jour, si les dimensions de la 

30 matrice M et le poids d'Hamming d de s sont choisis judicieusement. Les 
algorithmes connus pour resoudre le probl&me du decodage par 
syndrome tels que decrits, par exemple, dans I'article de J.S Leon "A 
probabilistic algorithm for computing minimum weights of large error- 
correcting codes" dans IEEE TIT, 34(5), pages 1354 & 1359 ou dans 
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Particle J. Stem "A method for finding codewords of small weight" 
Coding Theory & Applications, notes de lecture en Computer Science 
388 (1989), pages 106-113 ont un temps de calcul qui croit 
exponentiellement avec la taille des matrices en question. 
5 Les moyens de calcul actuels ne permettent pas de calculer s 

si les dimensions de M sont aux environs de 500 par 250 et la valeur de 
d proche de 50. Toutefois, 6tant donnS s (pris au hasard mais avec un 
certain poids), il est possible de calculer K. 

Dans la pr£sente invention, on utilise cette propria 3 sens 

10 unique pour que Pappareil de verification qui connaTt K puisse tester que 
le dispositif d'identification poss£de s sans que sa valeur soit r6v6l6e au 
cours de ('interaction. 

Pour mettre en oeuvre le proc£d£ d 'authentication conforme S 
la pr£sente invention, une autoritS choisit et publie la matrice M 

15 constitute de coefficients a,-j qui ont £t<§ choisis ateatoirement. En fait, 
pour <§viter de memoriser toute la matrice M, il est possible de gSngrer 
chaque coefficient a\j par f(i,j) ou f est une fonction pseudo-ateatoire 
publique queiconque. 

L'autorite choisit aussi une collection de vecteurs binaires s\ f £ 

20 savoir s*j, S£, s n/ dont le poids de Hamming d est relativement faible 
et les distribue aux divers dispositifs d 1 identification. Ainsi, le dispositif 
d'identification i recoit Sj. D'autre part, on publie Pensemble des c\6s 
publiques Kj ou Kj = Msj. 

Selon une variante de realisation, l'autorit§ peut aussi apposer 

25 sa signature sur les Kj de facon £ constituer un systSme cryptographique 
ferm£ ou une interaction avec PautoritS est n£cessaire afin de valider les 
cles publiques creant ainsi un syst£me bas£ sur Pidentit6 du porteur de la 
c!6 secrete Sj. 

On decrira maintenant deux modes de realisation specifiques 
30 du procede de la pr£sente invention. 

Le premier proc£d6 sera decrit avec reference S la figure 1 qui 
represente schematiquement le protocole de communication mis en 
oeuvre entre un dispositif d 1 identification et le dispositif de verification 
pour realiser une authentification. Les dispositifs d'identification qui 
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peuvent etre constitues, par exemple, par des cartes & puce ou des cies 
eiectroniques doivent etre physiquement inviolables. Ainsi, pour une 
carte d puce, ii doit etre impossible d'acceder a sa memoire interne. Rien 
par contre n'est suppose concernant I'environnement dans lequel evolue 
5 le dispositif de verification. De plus, comme represents sur les figures 3 
et 4 qui reprSsentent schematiquement un dispositif d f identification et un 
dispositif de verification, le dispositif d'identification comporte dans une 
memoire non volatile sa cie secrete s\ et la matrice M, de mfime le 
dispositif de verification comporte dans une memoire non volatile 
10 ['ensemble des cles publiques Kj et ia matrice M. Quand un dispositif 
d'identification veut entrer en contact avec un dispositif de verification, 
les deux dispositifs executent fe protocole suivant : 

- a) tout d'abord le dispositif d'identification r6v£le son identity 
et/ou sa cle sign6e Kj au dispositif de verification qui v£rifie que I'identite 

15 en question correspond bien d Kj. 

- b) ensuite, ie dispositif d'identification choisit un vecteur 
binaire aleatoire y et une permutation aleatoire p. Puis, il calcule les 
elements suivants : 

h<i = H(p,My), h2 = H(y p ), h3 « H {(y xor s) p ) et expedie 
20 ['engagement {h-|, h^, ^3} au dispositif de verification, (x p representant 
le vecteur x permute par p et xor la fonction Ou exclusif), 

- c) puis le dispositif de verification tire de fagon aleatoire un 
nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envoie au 
25 dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y/P} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

- e] le dispositif de verification regoit r = {U,V} et teste que : 
30 Si q = 1 alors h-| = H (V,MU) et h 2 = H(Uv) 

Si q = 2 alors hi = H(V, (MU) xor K) et h3 = H(Uv) 
Si q = 3 alors h 2 = H(U), 113 = H(U xor V) et le poids de 
Hamming de V est d f 
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- f) si ie test correspondant S q s'est av<§r§ correct, le dispositif 
de verification considdre que Ie protocole s'est terming par un succds. 

Si le test n'est pas correct, le dispositif d' identification est 

rejete. 

5 Lorsque Ie dispositif est accepte, on envoie une impulsion de 

commande sur P interface entree/sortie du systdme protege qui permet la 
mise en route de la transaction ulterieure. L'ensembie des operations ci- 
dessus est symbolise sur la figure 1 dans laquelle la partie de gauche 
repr£sente les differentes operations realisees au niveau du dispositif 

10 d f identification tandis que la partie de droite represente les differentes 
operations realisees au niveau du dispositif de verification, les fteches 
symbolisant Penvoi d'informations d'un dispositif vers Pautre. 

Pour accroTtre la securite du procede, les deux dispositifs 
d f identification et de verification rep6tent les etapes ci-dessus plusieurs 

15 fois, £ savoir t fois, le dispositif de verification n'authentifiant le dispositif 
d' identification que si toutes les sessions du protocole se sont sold6es 
par un succes. De preference, on choisit t tel que 0 < t < 60, 

Le procede de base decrit ci-dessus peut etre modifie de 
differentes manures, permettant notamment une simplification de la 

20 realisation eiectronique ainsi qu'un raccourcissement des temps de 
calcul. Ainsi, il est possible de transmettre le vecteur My en dair et de 
redefinir H-j « H(p) en modifiant les tests correspondants. Selon une 
autre variante, ie dispositif de verification et/ou Ie dispositif 
d'identification peuvent faire un test partiel sur un sous-ensemble de 

25 coordonnees des vecteurs et effectuer ainsi les calculs de fapon plus 
rapide. Dans ce cas, certaines etapes du procede sont modifi6es telles 
que decrites ci-apres. 

Ainsi, Petape b peut etre modifiee de la fapon suivante : 
apres avoir choisi un vecteur aieatoire y et une permutation 

30 aieatoire p f 

- b) le dispositif d' identification calcule h-j = H(p), h2 = H(y p ), 
h 3 = H ((y xor s) p ) et expedie Pengagement {h-j, h2, h3> au dispositif 
de verification, 
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- c) le dispositif de verification tire de facon aleatoire une liste 
de nombres mutuellement disjoints G = {g-], ...gf} telle que 1 < gj < k 
et i'envoie au dispositif d' identification, 

- d) le dispositif d'identification calcule seulement les f bits de 
5 My dont les emplacements sont indiques par G et expSdie au dispositif 

de verification le vecteur Z ainsi obtenu. 

Dans ce cas, I'Stape e est modifiee elle aussi de la facon 

suivante : 

- e) le dispositif de verification report r = {U,V} et contr6le 

10 que : 

Si q = 1 alors h<[ = H(V), h 2 = H(Uv) et Extrait (MU,G) xor 
2=0 ou Extrait (x, G) represente le vecteur projection obtenu en 
choisissant dans x seulement les bits indiques par G ; 

Si q = 2 alors h<\ = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

15 xorZ = 0; 

Si q = 3 alors h2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d. 

Selon une autre variante du proc6d6, I'etape b peut §tre 
modifiee de la mantere suivante : 
20 - b) aprds avoir choisi un vecteur aleatoire y et une 

permutation aleatoire p, le dispositif d'identification calcule h-j = H(p} f 
h 2 = H(y p ), h 3 = H ((y xor s) p ) et expedie ('engagement {h-j, h2, h3) 
au dispositif de verification ; 

- c) le dispositif d'identification calcule Q = My et expedie le 
25 vecteur Q ainsi obtenu au dispositif de verification ; 

- d) le dispositif de verification tire de facon aleatoire une liste 
de nombres mutuellement disjoints G = {g-j, gf} telle que 1 < g\ < k 
et calcule le vecteur Z = Extrait (Q,G). 

Alors I'etape e est modifiee de la maniere suivante : 
30 - e) le dispositif de verification recoit r = {U,V} et contrdle 

que : 

St q = 1 alors h-| = H(V), h 2 ■ H{Uv) et Extrait (MU,G) xor 

Z = 0; 
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Si q = 2 alors h<| = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d. 
5 Un autre mode de mise en oeuvre du proc6d6 

d'authentification est maintenant d6crit avec reference 3 la figure 2. Ce 
second mode de realisation demande plus de calculs que le mode de 
realisation precedent, mais la probability de succ£s d'une entite iliegale 
decrott plus vite. Dans ce cas, le vecteur s\ est remplace par un 
10 ensemble de vecteurs s[1], s[w] formant un code simplexe etendu. 
De plus le vecteur Kj est remplace par un ensemble de vecteurs K[1], 
K[w] tels que M(s[i]) = K[i]. 

Ce mode de realisation comporte done les etapes suivantes, 
symbolisees sur la figure 2 de mantere identique £ la symbolisation 
15 utilisee sur la figure 1 : 

- a) le dispositif d'identification choisit un vecteur aieatoire y et 
une permutation aieatoire p puis calcule h-| = H(My, p), h£ = H(yp, 
s[1] p , s[w] p ) et expedie ('engagement {h<j, h2> au dispositif de 
verification, 

20 - b) le dispositif de verification tire de fa?on aieatoire un 

vecteur binaire b[1], b[w] et l f envoie au dispositif d'identification ; 

- c) le dispositif d 1 identification calcule et envoie au dispositif 
de verification une r£ponse z definie par : 

z = Yp s[1]pb[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
25 s[w] p b[w] ; 

- d) le dispositif de verification tire de fagon aieatoire un bit q 
et Tenvoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une r6ponse r definie 

par : 

30 Si q = 0 alors r = {y p , s[1] p , s[w] p } 

Si q = 1 alors r = {p} ; 

- f) le dispositif de verification repoit une reponse r = {r[0], 
r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- g) le dispositif de verification teste que : 
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Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z, r[0])) xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]) = h-j ; 

- h) si le test correspondant 3 q s'est av6r§ correct, ce 
dispositif de verification consid&re que le protocole s'est terming par un 
succds. 

Ce procede peut lui aussi etre modifie et adapts de manure a 
eviter la depermutation du vecteur z, et 3 effectuer une verification 
sfmpiifiee sur un sous-ensemble des coordonnees des vecteurs comme 
decrit ci-dessus. Dans ce cas, le proc6d6 peut comporter, par exemple, 
!es Stapes suivantes : 

- a) le dispositif d'identification choisit un vecteur aieatoire y et 
une permutation aieatoire p, puis calcule : 

hi - H(p), h 2 = H(y p/ s[1] p/ , s[w] p ) et expedie 
I'engagement {hi, h 2 } et le vecteur ho = My au dispositif de 
verification ; 

- b) le dispositif de verification tire de fapon aieatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d 1 identification, 

- c) le dispositif d'identification calcule et envoie au dispositif 
de verification une reponse z definie par : 

z - y p xor s[1] p b[1] xor s[2] p b[2] xor s[3J p b[3] ... xor 
s[w] p b[w] ; 

- d) le dispositif de verification tire de fagon aieatoire un bit q 
et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une reponse r definie 

par : 

Si q = 0 alors r « {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

- f) le dispositif de verification regoit une reponse r = {r[0], 
r[1] f r[w]} si q = 0 ou r = {r[0]} si q - 1 ; 

- g) le dispositif de verification teste que : 

Si q = 0 aiors h 2 = H(r},z = r[0] xor r[l]b[l] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1L r[2], ... r[w]} forme un code simplexe ; 
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Si q = 1 alors h<| = H(r[0]) et (h 0 ) r [0] xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r[0 ] = z. 

Si le test correspondent s'est av6r6 correct, le dispositif de 
verification considere que le protocole s f est termini par un succSs. 
5 Comme dans le cas du premier mode de realisation, le 

protocole decrit ci-dessus peut 6tre r§p6t6 t fois, le dispositif de 
verification n'authentifiant le dispositif d 1 identification que si toutes les 
sessions du protocole se sont soktees par un succ£s. 

D'autre part, ia s6curit6 des deux m§thodes d^crites ci-dessus 
10 depend de la taille des differents paramStres, notamment de d, n, k, et t. 
II est evident pour I'homme de I'art que !e choix de t est facilement 
modulable en cours de fonctionnement, au niveau des deux dispositifs 
communiquant entre eux en fonction du contexte. En ce qui concerne les 
parametres d, n et k , il s'agit de param£tres systfeme et leurs choix sont 
15 fixes a I'origine et plus difficilement modifiables. 

Ainsi, de preference, les paramStres d, n, k sont choisis 
sensiblement sous la borne Warshamov-Gilbert donnant une valeur Hmite 
theorique pour le poids minimal d d'un code (n,k) ateatoire, d savofr : 
d = nH2(k/n) ou H2M est la fonction d'entropie H2(x) = - x log2(x) - 
20 d-x} Iog2(1 - x). Dans ce cas, d est choisi tel que : 

d = (k - n) log 2 d - fk/n}) - k Iog 2 (k/n) 

ou d = (n - (k - n) log 2 d - (k/n)) + k log 2 (k/n). 

De plus, a la restriction de la borne de Warshamov-Gilbert, il 
convient d'ajouter une relation telle que 2k = n qui lie les valeurs de n et 
25 k. 

En utilisant les relations ci-dessus, de preference d = 0,11 n 
ou d = 0,89 n et les couples n et k peuvent prendre Tune des valeurs 
suivantes : 

{n - 384, k - 196} ou {n - 512, k - 256} ou {n = 1024, 
30 k = 512} ou {n = 768, k - 384). 

Selon une variante de realisation qui peut etre utilis6e dans 
I 'ensemble des m6thodes d6crites ci-dessus, la fonction de hachage est 
remplacee par une fonction de chiffrement oti le message 3 hacher joue 
le role de la cle et/ou de messages 3 chiffrer et oO le contrdle de la 
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veracite du message hach£ consiste £ ctevoiler le message qui a 6t6 
hache et/ou la cle de chiffrement. On pourra se rSfgrer 3 ce sujet aux 
publications suivantes : 

- Ivan Damgaard, Crypto'89, "Design principles for hash- 
5 functions" ; 

- Naor and al. "one-way hash functions and their cryptographic 
applications", Proceedings of the 21 st annual ACM symposium on theory 
of computing, Seattle, Washington, May 15-17, 1989, pp 33-43 ; 

- Matyas, "Generating strong one-way functions with 
10 cryptographic algorithm", IBM Technical disclosure bulletin, vol. 27, 

N°10A, March 1985, pp. 5658-5659. 

Dans le cas d'un proc£d£ has6 sur le "Modular Knapsack", le 
choix du vecteur y et tous les calculs sont effectuSs modulo m et 
('operation xor est remplac£e par une addition ou une soustraction 
15 modulo m, les tests sur le poids £tant remplac6s par la verification que 
toutes les coordonnSes du vecteur sont soit 0, soit 1 et que le poids de 
ce vecteur est constant, fa relation reliant n, k et m §tant : n - k ln{m)/ln 
2 et n - k >64. Alors m est choisi parmi les nombres 2, 3, 5, 7 ou 2 C 
dans lequel c est un nombre entier petit et les ensembles {n, k, m} 
20 peuvent prendre Tune des valeurs suivantes : 

{196,128,3} ou {384,256,3} ou {128, 64, 5} ou {192, 96, 5}. 
Dans beaucoup de cas, il est important d'avoir un moyen de 
d£duire s de Tidentite ID du porteur du dispositif d'identification. Ceci 
permet, par exemple, d'Sviter la sauvegarde des c\6s publiques K\ aupr&s 
25 des dispositifs de verification et la mise & jour d'un dictionnaire de cl§s 
publiques d£s qu'un nouvel utilisateur rejoint le systdme. 

Pour ce faire, un code simplexe £tendu sigma-j, sigma u est 
choisi par I'autorite une fois pour toutes comme paramdtre. 

Pour enregistrer un utilisateur dont Tidentitg est ID, on hache 
30 la valeur ID par une fonction £ sens unique publique (par exemple la 
fonction de hachage H) et on obtient un vecteur binaire e*|, e u . On 
calcule : u 

S ID ~ 5- e i sigma; 
i = 1 
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On publie K-\ = M(sigma-| ), K u = M(sigma) u et on donne 
S[d a ('utilisateur ID. 

Les dispositifs de verifications peuvent calculer : 

u 

5 K[d = S ejKj 

i = 1 

ou le vecteur e*j, e u est donn6e par le hachage de ID et 
verifier que te dispositif d'identification poss6de S|d- 

Pour atteindre un degr6 de s6curit6 suffisant, il est 

10 indispensable d 'avoir u > 40 ce qui implique, 3 priori, des codes 
simplexes de taille trop importante. En r§alite, il est facilement possible 
de se ramener & des tallies raisonnables en choissant une collection de L 
codes simplexes de petites dimensions {par exemple d = 64, dim = 7, 
n = 580, k = 290, L « 8) et en calculant pour chaque utilisateur une 

15 collection de L cles secretes s[1]|D/ s[2][q, s[L]|d obtenues comme 
suit. 

Choisir, une fois pour toutes L codes simplexes de dimension 

dim : 

sigma [1]-j, ... sigmatl]^ 
20 sigma [2]<|, ... sigma[2] c ii m 

sigma [L] 1# ... sigmaO/!^ 

donner, a chaque dispositif d' identification, la collection 
complete des cles publiques K[i]j = M (sigma [i]j) pour i = 1, ...L et j = 
1 , ...dim. 

25 Pour chaque utilisateur : 

1. Calculer : H(ID) = e-j, ...e u 

2. Partager le vecteur e en L segments e[1], ... e[L] de dim bits 

chacun ; 

3. Pour i = 1 a L calculer : 
30 dim 

s[i]|D = £ e[i]jsigma[i]j 
j = 1 

4. Donner s[1]jp, s[2]|d, s{I][q 3 I'utilisateur. 



2700430 



16 

On utilisera les divers soit de fagon s6rielle (en utilisant 

aux tours successifs les s[i]|D & tour de rdle) ou parallSle, comme 
rillustre ie protocole suivant : 

a) le dispositif d' identification r£v£le son identity ID au 
dispositif de verification ; 

b) le dispositif de verification calcule K[1]|d, K[2]|D/...,K[L]|d 

c) Ie dispositif d' identification choisit L vecteurs y[1],... r y[L] et 
L permutations p[1], p[L], calcule h-| = H({p[i]}, {My[i]}), h 2 - 
H({y[i] p [j]}) / h3 = H ({y[i] xor s[i] p [j]}) et expgdie ('engagement {h-j, h 2 , 
h^} au dispositif de verification ; 

d) le dispositif de verification tire de fapon al£atoire un nombre 
0 < q < 4 et I'expgdie au dispositif d'identification ; 

e) le dispositif d'identification calcule et expgdie au dispositif 
de verification une rgponse r definie par : 

Si q =1 alors r = {{y[i]}, {p[i]}} 

Si q = 2 alors r = {{y[i] xor s[i]}, {p[i]}} 

Si q = 3 alors r = {{y[i] p [j]>, {s[i] p [i]}} 

f) le dispositif de verification regoit r = {U, V} et teste que : 
Si q = 1 alors h 1 = H ({V[i]} , {MU[i]» et h 2 » H({U[i] V [i]}) 

Si q = 2 alors h-j » H ({V[f]> , ({MU[i]J xor K[i]» et 
h 3 = H({U[t] V [i]}) 

Si q = 3 alors h 2 = H ({U[i]} , h 3 - H({U[i] xor V[i]}) et le 
poids des V[i] est d. 

g) Si le test correspondant a q s'est avgrg correct le dispositif 
de verification considere que le protocole s'est terming par un succgs ; 

h) les deux dispositifs rgpgtent les gtapes a) S f) t fois. 

En version parallele, le protocole prend la forme suivante : 

- a) I'identificateur rgvgfe son identity ID au vgrifieur 

- b) le verifieur calcule K[1]|d,K[2]|d,..., K[L]|d 

- c) I'identifieur choisit L vecteurs y[1], y[L] et 
L permutations p[1}, p[L], calcule hi = {H{p[i], My[i])} r 
h 2 = {H(y[i]p[j])} f h 3 = {H((y[i] xor s[i] p [j]}} et expgdie ('engagement 
{h-j , h 2 , au verifieur. 
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- d] ie verifieur tire de fapon ateatoire L nombres ateatoires 
q[1], q[L] ou 0 < q(i] < 4 et les exp<§die S I'identifieur 

- e) I'identifieur calcule et exp<§die au verifieur L rgponses r[1] f 
r[L] definies par : 

si q[i] = 1 alors r[i] = {y[i], p[i]} 

si q[i] = 2 alors r[i] = {y[i] xor s(i], p[i]} 

si q[i] = 3 alors r[i] = {yti] p [i] s{i] p [i]} 

- f) le verifieur recoit les {r[i]} et contr6le les engagements 
d'une facon evidente pour I'homme de Tart. 

Une autre methode pour relier ID 3 s est la suivante : 

- on introduit t secrets de poids at dont fes bits S un sont 
repartis sur 2at positions. Soit s[1], s[2], s[t] et on publie Ms[i] pour 
i = 1, ...,t. 

Dans ce cas, la generation d'une cl6 se passe selon le 
processus suivant. II est aise, notamment par tiangulation partielle, de 
trouver un mot s tel que : 

t 

s = Z x[i] s[i] et 
i = 1 

t 

Ms = Z ejMsfi] et 
i = 1 

le poids de s est approximativement ta-t/2. 

Le choix des dimensions dans ce syst6me est r6gi typiquement 
par les relations suivantes : 0,11 n = ta - t/2, 2k = n et 2at8 > 56 ou 
2a-2a H 2 (5) - 1. 

Typiquement, pour t = 56 on a : d « 95 f n = 863, k = 432. 
II est evident pour I'homme de Tart que d'autres combinatsons sont 
possibles. 

On decrira maintenant succintement, avec reference 3 la figure 
3, un mode de realisation schematique d'un dispositif d'identification qui 
peut etre, par exemple, une carte a puce. Ce dispositif d'identification 
comporte done une unit6 de commande 1, une m6moire non volatile 2 
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qui peut etre seulement lue et qui contient par exemple la matrice M ou 
une fonction permettant d'obtenir les coefficients de la matrice M tels 
que definis ci-dessus ainsi que la cle secrete s,- du dispositif 
d'identification lui-meme. (I comporte aussi une memoire a acc&s 
aleatoire 3, un multiplicateur vecteur-matrice dont le mode de realisation 
sera decrit avec reference a la figure 5, un moyen pour realiser des OU 
exciusifs binaires 5, un generateur 6 de nombres aieatoires, une fonction 
de hachage 7 et un generateur de permutation 8, tous ces elements 
etant proteges physiquement. II comporte aussi un interface de 
communication permettant un 6change de donnees entre le dispositif de 
verification et I'unite de commande du dispositif d'identification. Le 
generateur de nombres aieatoires peut etre realise par une source de 
bruit blanc numerise qui peut etre produit, par exemple, par une diode 
zener polarisee en inverse dans la zone dite "du coude"ou peut §tre aussi 
constitue par un generateur de nombres pseudo-aieatoires comme decrit 
dans les brevets americains 4 817 147 au nom de GUNTER ou 4 649 
419 au nom d'ARAGON. D'autre part, le generateur de permutation 8 est 
capable de permuter des vecteurs binaires en utifisant, par exemple, la 
methode decrite dans la demande de brevet europgen N°91 403065 ou 
dans Particle intitule "On the generation of permutation" de David 
Naccache dans le South African Computer Journal, n°2, 1990, pages 12 
a 16. 

La fonction de hachage peut etre rt§alis6e par une fonction de 
hachage MD4 presentee par RIVEST a crypto 90, FFT-Hash II it6r6e 
convenablement, presentee par SCHNOR 3 Eurocrypt 92, ou par 
I'algorithme de chiffrement DES. 

Le dispositif de verification tel que represents a la figure 4 
comporte lui aussi une unite de commande 10, cette unite de commande 
10 etant reliee a une memoire non volatile 11 du type ROM qui comporte 
la matrice M et la cie publique K, un calculateur du poids de Hamming 
12, un comparateur 13, un multiplicateur matrice-vecteur 14, une 
memoire a acces aleatoire 15, des moyens 16 pour realiser des OU 
exclusrfs binaires identiques aux moyens 5 du dispositif d'identification, 
un generateur 17 de nombres aieatoires, tel que decrit ci-dessus, une 
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fonction de hachage 18 identique 3 la fonction de hachage 7 et un 
generateur de permutations 19. II comporte aussi une interface de 
communication 20 reliSe d I'unitS de commande 10 et permettant de 
gerer la communication entre le dispositif de verification et les diffSrents 
5 dispositifs d'identification. 

On decrira maintenant avec reference 3 la figure 5, un mode de 
realisation de la fonction multiplication de la matrice par un vecteur. Ce 
mode de realisation simplify peut etre utilise avec un vecteur y de hurt 
bits. Comme represents sur la figure 5 concernant un multiplicateur 

10 matriciel M permettant de multiplier un vecteur y de huit bits par ia 
matrice de dimensions correspondantes, ce multiplicateur est formS de 
huit portes-ET 1 q , 1 2 , I3, I4, I5, 1q, I7, 1s- Chaque porte-ET repoit 
sur chaque entree, un bit du vecteur y et un bit de la ligne courante de la 
matrice M. Les sorties des porte-ET alimentent un r6seau triangulaire de 

15 porte OU exclusifs 2 1r 2<i< 2 3* 2 4/ 3-j, 32, 4 afin d'obtenir S la sortie du 
circuit le bit correspondent au produit scalaire de y par la Hgne courante 
de la matrice M. De maniere plus spScifique, les sorties des portes 
12 sont envoyees en entree de la porte OU exclusif 2j, les sorties des 
portes 13, I4 sont envoyees en entree de la porte OU exclusif 22 et les 

20 sorties de ces deux portes OU exclusif sont envoy§es en entree de la 
porte OU exclusif 3-j. De manidre identique, ies sorties des portes I5, 16 
sont envoyees en entr6e de la porte OU exclusif 23 et les sorties des 
portes 17, 1 8 sont envoyees en entree de la porte OU exclusif 24, les 
sorties de ces deux portes OU exclusif 6tant envoySes en entree de la 

25 porte OU exclusif 32- Les sorties des portes OU exclusif 3-j, 32 sont 
envoyees en entree de la porte OU exclusif 4 dont la sortie S correspond 
au produit scalaire de y par la ligne courante de la matrice M. 
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REVINDICATIONS 

1. Procede d'authentification d'au moins un dispositif 
d'identification par un dispositif de verification, cette authentification 

5 etant reaiisee par un protocole 3 apport nul de connaissance base sur le 
probleme du decodage par syndrome ou !e probldme connu sous le nom 
de "Modular Knapsack", le procede etant caracterise par les Stapes 
suivantes : 

- pour permettre le dialogue entre le dispositif d 'identification 
10 et le dispositif de verification, etablir une cie secrete constitute par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cle pubiique comprenant une matrice M de dimensions nxk dont les 
coefficients sont choisis aleatoirement et au moins un vecteur Kj tels que 
Kj = Msj ; 

15 - au niveau du dispositif d'identification, produire un vecteur 

aleatoire y de dimension n et une permutation aleatoire p et envoyer au 
dispositif de verification un engagement obtenu en appHquant une 
fonction de hachage cryptographique H sur des param6tres fonction de 
y, p, s et M ; 

20 - puis, en fonction d'un nombre aleatoire tire par le dispositif 

de verification et envoye au dispositif d'identification, reveler au 
dispositif dMdentification, certains elements fonction de y, p et Sj sans 
reveler s\ ; 

- et en fonction du nombre aleatoire, tester au niveau du 
25 dispositif de verification a l'aide des elements repus et de fa cie pubiique 

que les engagements sont corrects ; 

- repeter les operations un nombre de fois fonction du niveau 
de securite souhaite. 

2. Procede selon la revendication 1, caracterise en ce que le 
30 vecteur s\ est un vecteur binaire. 

3. Procede selon les revendications 1 et 2, caracterise en ce 
que apr6s avoir choisi un vecteur aleatoire y et une permutation aleatoire 
p, le dispositif d'identification calcule : 
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h<| = H(p,My), h2 = H(y p ), [13 = H {(y xor s) p ) et expSdie 
('engagement {h<|, h2r au dispositif de verification, (x p repr6sentant 
ie vecteur x permute par p et xor la fonction Ou exclusif), puis le 
dispositif de verification tire de facon aleatoire un nombre 0 < q < 4 et 
5 I'expedie au dispositif d' identification, alors le dispositif d" identification 
calcule et envoie au dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y t p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
10 le dispositif de verification recoit r = {U,V} et teste que : 

Si q = 1 alors h-| = H {V,MU) et h 2 = H (U V ) 

Si q = 2 alors hq = H(V, (MU) xor K) et h 3 = H(Uy) 

Si q = 3 alors h 2 = H(U), (13 = H(U xor V) et le poids de 
Hamming de V est d. 
15 Si ie test correspondent S q s'est av6r6 correct, le dispositif de 

verification considere que le protocole s'est termini par un succds. 

4. Procede selon les revendications 1 et 2, caract6ris6 en ce 
que, apres avoir choisi un vecteur aleatoire y et une permutation 
aleatoire p, ie dispositif d' identification calcule h-j = H(p), h2 = H{y p ), 
20 h3 = H ({y xor s) p ) et expedie ('engagement {h-j, h 2 r h 3 } & ce dispositif 
de verification, 

le dispositif de verification tire de facon aleatoire une liste de 
nombres mutuellement disjoints G =* {g-j, ...gf} telle que 1 < gj < k et 
Tenvoie au dispositif d'identification, 
25 le dispositif d 1 identification calcule seulement les f bits de My 

dont fes emplacements sont indiqugs par G et expedie au dispositif de 
verification le vecteur Z ainsi obtenu ; 

le dispositif de verification tire de fapon aleatoire un nombre 0 
< q < 4 et Texpedie au dispositif d'identification, alors le dispositif 
30 d'identification calcule et envoie au dispositif de verification une reponse 
r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
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le dispositif de verification recoit r = {U,V} et contrdle que : 
Si q = 1 alors h<[ = H(V} # h 2 = H(U V ) et Extrait (MU,G) xor 

Z = 0 ou Extrait (x, G) repr6sente le vecteur projection obtenue en 

choisissant dans x seulement les bits indiqugs par G ; 
5 Si q = 2 alors h-j = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H{U), h3 = H(U xor V) et le poids de 
Hamming de V est d ; 

Si le test correspondent 3 q s'est av6r6 correct, le dispositif de 
10 verification considere que le protocole s'est terming par un succSs. 

5. Procede selon les revendications 1 et 2, caract6ris6 en ce 
que, apres avoir choisi un vecteur ateatoire y et une permutation 
aleatoire p, le dispositif d'identification calcule h-j = H(p), h 2 = H(y p ), 
h3 = H ((y xor s) p ) et expedie ('engagement {h-|, h 2 , au dispositif 
15 de verification ; 

le dispositif d' identification calcule Q = My et expedie le 
vecteur Q ainsi obtenu au dispositif de verification ; 

le dispositif de verification tire de fagon aleatoire une liste de 
nombres mutuellement disjoints G = {g-j, gf} telle que 1 < gj < k et 
20 calcule le vecteur Z = Extrait (Q,G) 

le dispositif de verification tire de fagon ateatoire un nombre 0 
< q < 4 et I'expedie au dispositif dMdentification, alors le dispositif 
d'identification calcule et envoie au dispositif de verification une r£ponse 
r definie par : 
25 Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

le dispositif de verification recoit r = {U,V} et contrdle que : 
Si q = 1 alors h-j = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 

30 Z = 0 ; 

Si q = 2 alors h q - H{V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H{U xor V) et le poids de 

Hamming de V est d ; 
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Si le test correspondent £ q s'est av£r£ correct, le dispositif de 
verification considere que ie protocole s'est terming par un succds. 

6. Precede selon la revendication 1, caract6ris6 en de que le 
vecteur s; est remplace par un ensemble de vecteurs s[1], s[w] 

5 formant un code simplexe etendu. 

7. Precede selon la revendication 6, caractgrise en ce que le 
vecteur Kj est remplace par un ensemble de vecteurs K[1], ... K[w] tels 
que M(s[i]] = K[i]. 

8. ProcSde selon les revendications 6 et 7, caracterise en ce 
10 que le dispositif d'identification choisit un vecteur aieatoire y et une 

permutation aieatoire p puis calcule h-| = H(My, p), h£ = H(y p , s[1] p/ 
s[w] p ) et expedie ('engagement {h<j, h2) au dispositif de verification, 
le dispositif de verification tire de fa<?on aleatoire un vecteur 
binaire b[1], bfw] et I'envoie au dispositif d'identification ; 
15 le dispositif d'identification calcule et envoie au dispositif de 

verification une rgponse z definie par ; 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b3] ... xor 
s[w]pb[w] ; 

le dispositif de verification tire de fa?on aieatoire un bit q et 
20 I'envoie au dispositif d'identification, 

le dispositif d'identification envoie une r£ponse r definie par : 
Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification repoit une reponse r = {r[0L r[1], 
25 r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z - r[0] xor r[1]b[l] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]bfw] et {r[l], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z r r[0])) xor (K[1]b[1] xor 
30 K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0] }= h<! ; 

si le test correspondent & q s r est av£r£ correct le dispositif de 
verification considere que le protocole s'est termini par un succ£s. 
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9. Precede seton les revendications 6 et 7, caract6ris§ en ce 
que le dispositif d' identification choisit un vecteur ateatoire y et une 
permutation aleatoire p, puis caicuie : 

hi = H(p), h£ = H(y p , s[1] p , s[w] p ) et exp<§die 

5 ('engagement {h-j, h£> et le vecteur ho = My au dispositif de 
verification ; 

le dispositif de verification tire de fapon aleatoire un vecteur 
binaire b[l], b[w] et Tenvoie au dispositif d'identification, 

le dispositif d'identification caicuie et envoie au dispositif de 
10 verification une reponse z definie par : 

z = y p xor s[l]pb[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w]pb[w] ; 

le dispositif de verification tire de fapon alSatoire un bit q et 
Tenvoie au dispositif d'identification, 
15 le dispositif d'identification envoie une rSponse r dSfinie par : 

Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification report une r6ponse r = {r[Q], r[1], 
r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 
20 le dispositif de verification teste que : 

Si q = 0 alors h2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], ... r[w]} forme un code simplexe ; 

Si q = 1 alors h-j = H(r[0]) et (ho) r [0] xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w)b[w]) r [ 0 ] = z. 
25 Si le test correspondant s'est av6r§ correct, le dispositif de 

verification considere que le protocole s'est termini par un succ§s. 

10. Procede selon I'une quelconque des revendications 13 9, 
caracterise en ce que le protocole est repet§ t fois et que le dispositif de 
verification n'authentifie le dispositif d'identification que si toutes les 

30 sessions du protocole se sont soktees par un succ6s. 

11. Procede selon la revendication 10, caract6ris6 en ce que t 
est choisi tel que 0<t<60. 

12. Procede selon Tune quelconque des revendications 13 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 
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d = (k - n) log 2 (1 - (k/n)) - k log2 (k/n), et de preference 
sensiblement inferieur a cette valeur. 

13. Procede selon I'une quelconque des revendications 1 a 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 

5 d = (n - (k - n) log 2 (1 - (k/n)) + k log 2 (k/n), et de 

preference sensiblement superieur 2 cette valeur. 

14. Procede selon I'une quelconque des revendications 13, 
caracterise en ce que n = 2k, 

15. Proc6d6 selon I'une quelconque des revendications 12 a 
10 14, caracterise en ce que d= 0,1 1n ou d = 0,89 n 

16. Procede selon I'une quelconque des revendications 1 a 15, 
caracterise en ce que n et k prennent comme valeur Tun des couples 
suivants : 

{n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
15 k = 512} ou {n = 768, k = 384} 

17. Procede selon I'une quelconque des revendications 1 a 16, 
caracterise en ce que la fonction de hachage est remplacee par une 
fonction de chiffrement ou le message a hScher j'oue le rfile de la cle" 
et/ou du message a chiffrer et ou le contrdle de la veracite" du message 

20 h§ch6 consiste a devoiler le message qui a ete hache et/ou la cle" de 
chiffrement. 

18. Procede base sur le "Modular Knapsack" selon I'une 
quelconque des revendications 1 a 17, caracterise en ce que le choix du 
vecteur y et tous les calculs sont effectues modulo m et I'operation xor 

25 est remplacee par une addition ou une soustraction modulo m, les tests 
sur le poids etant remplaces par la verification que toutes les 
coordonnees du vecteur sont soit 0, soit 1 et que le poids de ce vecteur 
est constant, la relation reliant n, k et m etant : n " k ln(m)/ln 2 et n - 
k >64. 
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19. Procede selon la revendication 18, caract6ris6 en ce que m 
est choisi parmi les nombres 2, 3, 5, 7 ou 2° dans lequel c est un 
nombre entier petit. 

20. Procede selon les revendications 18 ou 19, caract6ris6 en 
5 ce que {n,k,m} prennent comme valeurs Tune des valeurs suivantes : 

{196, 128, 3} ou {384, 256, 3} ou {128, 64, 5} ou {192, 96, 5}. 

21. Proced§ selon I'une quelconque des revendications 1 d 20, 
caracterise en ce que le calcul de H{p) est effectug en calculant H{ep) od 
e est un vecteur constant pseudo-af£atoire. 

10 22. Procede selon Tune quelconque des revendications 1 a 21, 

caracterise en ce que pour pouvoir associer I'identit6 ID de chaque 
utilisateur a ses cles {s\, K\}, I'autoritg g6n§ratrice choisit un ensemble de 
cles secretes primaires {KPj} et hache ID en un vecteur binaire I = H{ID) 
servant a calculer Sj comme fonction des KPj , i'autorite publiant 

15 I'ensemble des cles publiques primaires {PPj} ou {PPj} = f (KPj). 

23. Procede selon la revendication 22, caract6ris§ en ce que 
I'autorite utilise les bits de I comme indicateurs de selection permettant 
de decider pour chaque KPj si ceiui-ci intervient dans le processus de 
calcul de s ou non. 

20 24. Procede selon la revendication 23, caracterise en ce que 

I' ensemble {KPj} forme un ou plusieurs codes simplexes gtendus. 

25. Procede selon la revendication 24, caract6ris£ en ce que I 
est un nombre de 56 bits. 

26. Procede sefon les revendications 22 3 25, caract£ris<§ en 
25 ce que s est calcule comme combinaison lingaire des KPj soit 

s = I [1] KP-] 4- I [2] KP2 + ... I [taille de I] K p ta j|| e ^ e \ et oCi 
PPj = (KPj). 

27. Procede pour relier ID a s selon les revendications 22, 23 
et 25, caracterise en ce que Ton realise les calculs suivants : 

30 

- I'autorite selectionne t secrets KPj de poids at dont les bits 3 
un sont repartis sur 2at positions, publie I'ensemble des PPj = M(KPj) et 
genere une cle s par triangulation partielle de la fapon suivante : 
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t 

s = V xfi] KPj 
i = 1 

5 t 

Ms - Z Kil PPi et 
i = I 

ie poids des = ta-t/2 

ie choix des dimensions 6tant r6gi par les relations suivantes : 
10 0,11 n = ta-t/2, 2k = n et 2at5 > 56 ou 2a-2aH 2 (5) - 1. 

28. Procede selon la revendication 27 r caract6ris6 en ce que 
t = 56, d = 95, n = 864, k = 432. 

29. Systeme pour la mise en oeuvre du proc£d§ selon Tune 
quelconque des revendications 1 a 28, comprenant au moins un 

15 dispositif d'identification et un dispositif de verification, caractSrisS en ce 
que Ie dispositif d'identification comporte au moins des moyens pour 
multiplier une matrice M de dimensions nxk, par des vecteurs de n bits 
des moyens pour stocker un vecteur secret s\ d'un poids de Hamming d, 
des moyens pour produire un vecteur a!6atoire y et une permutation 

20 aieatoire p, des moyens pour rSaiiser un hachage cryptographique H et 
des moyens de communication avec Ie dispositif de verification. 

30. Systeme selon la revendication 29, caract£ris6 en ce que 
Ie dispositif de verification comporte au moins des moyens pour 
multiplier une matrice M de dimensions nxk, par des vecteurs de n bits 

25 des moyens pour stocker au moins un vecteur public Kj tels que Kj = 
Ms}, des moyens pour produire algatoirement un nombre entier, des 
moyens pour realiser un hachage cryptographique H et des moyens de 
communication avec les dispositifs d'identification. 

31. Systeme selon les revendications 29 et 30, caract6ris6 en' 
30 ce que la matrice M est gSnerde par un g£n6rateur dgterministe de 

nombres pseudo-aleatoires. 

32. Systeme selon les revendications 29 3 31, caract6ris6 en 
ce que ie multiplieur matriciel M est formS d'un alignement de portes "et" 
aux entrees de chacune desqueiles on applique un bit du vecteur y et un 
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bit de la ligne courante de la matrice M et oil les sorties des portes "et" 
alimentent un reseau triangulaire de portes "xor" afin d'obtenir £ la sortie 
du circuit le bit correspondant au produit scalaire de y par la ligne 

courante de la matrice M. 
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